Verejné Wi-Fi

Posted on by Lukáš Kroc
Verejné Wi-Fi

Prečo sú verejné Wi-Fi siete rizikové

Verejné Wi-Fi siete (kaviarne, letiská, hotely, stanice či nákupné centrá) sú navrhnuté pre dostupnosť, nie pre bezpečnosť. Často používajú zdieľané heslo, slabé šifrovanie alebo žiadne overenie zariadení. Útočníci preto vedia relatívne jednoducho odpočúvať nezabezpečenú prevádzku, vydávať sa za prístupový bod („evil twin“), vkladať škodlivý obsah do nešifrovaných spojení, alebo vykonávať útoky typu man-in-the-middle.

Typické hrozby na verejnom Wi-Fi

  • Odpočúvanie nezabezpečenej prevádzky: dáta bez šifrovania (HTTP, POP3, IMAP bez TLS) môžu byť čitateľné komukoľvek v dosahu.
  • Evil twin/AP spoofing: útočník vytvorí klon rovnako pomenovanej siete a naláka zariadenia na pripojenie.
  • Captive portál phishing: falošná prihlasovacia stránka pýta heslá, čísla kariet či kódy.
  • ARP/DNS spoofing: presmerovanie na podvrhnuté weby aj pri zdanlivo „správnej“ adrese.
  • Session hijacking: krádež relácií pri slabom zabezpečení cookies alebo neplnom HSTS.
  • Malware a exploit kity: infekcia prehliadača cez nezaplátované zraniteľnosti.
  • Bočné kanály: zneužitie zapnutého zdieľania súborov/tlačiarní, služby AirDrop/Nearby Share bez kontroly.

Kedy verejné Wi-Fi radšej nepoužiť

  • Pri internet bankingu, obchodovaní a správe účtov (ak nemáte silnú ochranu a vlastný dôveryhodný tunel).
  • Pri práci s citlivými podnikovými dátami bez firemnej VPN/ZTNA a politiky DLP.
  • Ak je sieť otvorená bez hesla alebo vyžaduje podozrivé povolenia (inštaláciu profilov, certifikátov, nejasné súhlasy).

Bezpečné používanie: stručný checklist

  • Preferujte mobilné dáta/hotspot alebo dôveryhodnú VPN so zapnutým kill-switchom.
  • Overte názov siete u personálu; nepripájajte sa na „Free_WiFi“, „Airport Free“ a pod. bez potvrdenia.
  • Zapnite firewall, vypnite zdieľanie súborov a služby automatického prijímania súborov.
  • Používajte HTTPS-only režim v prehliadači, kontrolujte zámok a doménu, vyhýbajte sa HTTP.
  • Aktualizujte systém a prehliadač, majte zapnuté automatické aktualizácie.
  • Prihlasujte sa s 2FA/passkeys; nepoužívajte SMS kódy ako jedinú metódu.
  • Po odpojení vymažte sieť zo známych sietí, aby sa zariadenie automaticky nepripájalo nabudúce.

HTTPS, HSTS a prehliadač: čo si všímať

Aj na verejnej sieti je prehliadač prvou líniou obrany. Zapnite režim „Len HTTPS“ (alebo ekvivalent), kontrolujte platný certifikát a presnú doménu. Neignorujte varovania o certifikátoch. Pri citlivých úkonoch používajte samostatné profily prehliadača, prípadne izolované kontajnery (site isolation) a pravidelne čistite cookies pre verejné prostredia.

VPN: kedy áno, kedy nestačí

  • Áno: keď potrebujete skryť prevádzku pred lokálnou sieťou, zabrániť MITM a šifrovať všetko vrátane DNS (tunel s DoH/DoT alebo vlastný DNS v tuneli).
  • Nie je všeliek: VPN neochráni pred phishingom, kompromitovaným zariadením, škodlivými rozšíreniami či únikom dát mimo tunela bez kill-switch.
  • Parametre: kill-switch, moderné protokoly (WireGuard/IKEv2), spoľahlivý poskytovateľ, blokovanie trackers/malware, možnosť vlastného DNS.

Captive portály a „evil twin“: bezpečné prihlásenie

  • Najprv sa pripojte, otvorte len neškodnú stránku a vyčkajte na originálny portál. Neklikajte na náhodné presmerovania či vyskakovacie okná pýtajúce citlivé údaje.
  • Nikdy nezadávajte prihlasovacie údaje do emailu či sociálnych sietí na captive portáli. Ak portál vyžaduje účet, nech je to samostatná, obmedzená identita.
  • Ak máte podozrenie na klon siete (rovnaký SSID, silný signál, no neštandardné správanie), odpojte sa a nahláste personálu.

DNS bezpečnosť a ochrana pred presmerovaním

Útoky na DNS sú časté v nezabezpečených sieťach. Preferujte DoH/DoT v prehliadači alebo smerujte DNS cez VPN. Overte, že „čistíte“ DNS cache po odpojení (reštart siete alebo príkazom podľa OS). Pri podozrení na hijacking nevykonávajte transakcie, kým nemáte dôveryhodné spojenie.

Konfigurácia zariadení (Windows, macOS, iOS, Android)

  • Firewall: zapnutý, blokovať prichádzajúce spojenia z verejných sietí.
  • Profil siete: nastavte ako „verejná“/„Public“; vypnite zdieľanie súborov, SMB, UPnP a zistenie siete.
  • Automatické pripájanie: vypnite „Auto-join“ na neznámych SSID; po použití „Zabudnúť sieť“.
  • AirDrop/Nearby Share/Bluetooth: vypnuté alebo „len pre kontakty“; neschvaľujte neznáme prenosy.
  • Aktualizácie a anti-malware: pravidelné aktualizácie, reputačná ochrana v prehliadači, minimálne vstavaný Defender/XProtect.
  • Šifrovanie disku: BitLocker/FileVault aktívny; chráni pri strate zariadenia v teréne.

Špecifické odporúčania pre prácu na diaľku

  • Používajte firemnú VPN alebo Zero-Trust Network Access (ZTA/ZTNA) s device posture check (stav zariadenia, šifrovanie, EDR, politiky).
  • Ukladajte dokumenty do spravovaných úložísk s DLP a šifrovaním; vyhnite sa synchronizácii na osobné účty v kaviarňach.
  • Vypínajte RDP/VNC a iné diaľkové služby; povolte ich len cez zabezpečený tunel a s 2FA.

Bankovníctvo a platby na verejnej Wi-Fi

  • Uprednostnite mobilné dáta pred verejnou Wi-Fi.
  • Ak musíte, používajte bankové aplikácie s silným 2FA/passkeys a notifikáciami; nikdy nie cez prehliadač bez overenia domény a HSTS.
  • Nezadávajte údaje o platobnej karte do formulárov z captive portálov ani podozrivých stránok; používajte tokenizované platby (Apple/Google Pay) kde to ide.

Čomu sa vyhnúť (čo nie)

  • Nepripájať sa na úplne otvorené siete bez hesla pri citlivých úkonoch.
  • Nepovoliť trvalé „auto-join“ pre verejné siete.
  • Nesťahovať spustiteľné súbory a neotvárať prílohy z neoverených zdrojov.
  • Nezadávať firemné prihlasovacie údaje do neznámych portálov.
  • Nepodceňovať varovania prehliadača o certifikátoch a podozrivých presmerovaniach.

Čomu dať prednosť (čo áno)

  • Mobilný hotspot z vlastného telefónu (s heslom a WPA2/WPA3).
  • VPN s kill-switch a zabezpečeným DNS.
  • Moderné protokoly a šifrovanie: HTTPS, TLS 1.2+, SSH, SFTP; vyhýbajte sa zastaraným verziám.
  • Passkeys/2FA cez autentifikačnú aplikáciu alebo hardvérový kľúč namiesto SMS.

Tabuľka rizík a mitigácií

Riziko Príznaky Prevencia/Reakcia
Evil twin Viac sietí s rovnakým názvom, nezvyčajný captive portál Overiť názov u personálu, používať VPN, odpojiť sa pri podozrení
DNS hijacking Známé stránky vyzerajú inak, varovania certifikátov DoH/DoT alebo VPN, kontrola certifikátov, nepokračovať pri varovaní
Session hijacking Nečakané odhlásenia, podozrivé aktivity účtu HTTPS-only, SameSite/secure cookies (na strane služieb), 2FA, revokácia relácií
Malware/Exploit Popupy, presmerovania, vysoké využitie CPU Aktualizácie OS/prehliadača, EDR/antimalware, zásada „neinštalovať nič“ na verejnej sieti
Únik dát Podivné odosielania, alarmy DLP Šifrované úložiská, prístup len cez dôveryhodné tunely, minimalizmus údajov

Pokročilé tipy pre náročných

  • Prehliadač v Sandboxe/Containeri: dedikovaný profil len pre verejné siete; po ukončení zmazať dáta.
  • Bezpečné DNS: vlastný DoH endpoint, DNSSEC validácia (kde je to možné).
  • WPA3-Enterprise: ak podnik ponúka 802.1X, uprednostnite ho pred zdieľaným heslom.
  • Monitorovanie spojení: upozornenia na nové sietové služby v okolí (mDNS/SSDP) a blokovanie prichádzajúcich spojení.

Čo robiť pri podozrení na kompromitáciu

  1. Okamžite sa odpojte od siete, vypnite Wi-Fi a vypnite automatické pripojenie k danej sieti.
  2. Spustite kontrolu malvéru a zmeňte heslá z dôveryhodného pripojenia (mobilné dáta).
  3. Skontrolujte posledné prihlásenia a relácie v kritických účtoch, zrušte neznáme relácie, zapnite 2FA.
  4. Pri firemných zariadeniach kontaktujte IT/SEC tím, zaznamenajte čas a názov siete, uchovajte logy.
  5. Ak prebehla platba, kontaktujte banku a sledujte transakcie; v prípade phishingu zvážte blokáciu karty.

Politika minimalizmu údajov na cestách

Čím menej citlivých údajov prenášate a ukladané máte na zariadení, tým menší je dopad prípadného incidentu. Používajte temporárne prístupové tokeny, obmedzené účty a prenášajte len nevyhnutné dáta. Po návrate vyčistite cache, sťahované súbory a odpojte nepoužívané účty.

Zhrnutie

Verejné Wi-Fi je pohodlné, no inherentne nedôveryhodné. Kombinácia overenia siete, HTTPS-only, spoľahlivej VPN s kill-switch, zapnutého firewallu, 2FA/passkeys a disciplinovaného správania zásadne znižuje riziko. Pri citlivých úkonoch uprednostnite mobilné dáta či vlastný hotspot a po každej verejnej sieti urobte hygienu: zabudnúť sieť, skontrolovať účty a vyčistiť prehliadač.

Related Posts

Výstup

Výstup v Kontexte Európskej Integrácie To, čo bolo vytvorené priamo financovanými aktivitami projektu, teda čo prijímateľ dostane v priamej výmene za finančné prostriedky. Výstup je […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *